个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我使用 Spring Security 来保护使用 Spring 构建的 RESTful Web 服务,但过去请求使用身份验证 header 进行身份验证。现在,当用户的凭据在 cookie 中时,我需要保护这样的应用程序。
我正在尝试找出最佳方法,要么从 cookie 中提取用户信息并将其放入身份验证 header 中,要么理想情况下仅将 cookie 的值用于 loadUserByUsername 方法在 UserDetailsService bean 中。
到目前为止,我已经想出了一些关于如何做到这一点的想法:
我可以添加一个 HandlerInterceptor 以使用 cookie 向请求添加身份验证 header 。但是,并非所有请求都需要身份验证,因此如果我这样做,我想将其应用于某些方法或请求映射而不是其他,但我不知道该怎么做。
我可以实现一个 AuthenticationEntryPoint,如 this tutorial 中所示.在那个教程中,虽然我真的不明白为什么他有 response.sendError( HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized"); 作为 commence 方法的主体。在我的用例中,我会使用那里的 cookie 添加身份验证 header 吗?
我可以在所有 Controller 方法的第一行使用自定义方法执行安全检查。当您遵循 Spring Security 的理想路径时,它似乎是一个非常好的解决方案。不过,我需要做的似乎偏离了这一点,而且我的要求实际上很简单。也许我最好还是用简单的老式方法来做这件事?
一些我不知道/没想到的更好的主意!
非常感谢您的帮助和想法!
最佳答案
如果我的要求正确,使用 Spring Security 的 Pre-Authentication Framework Classes 可能是最简单的实现所需的身份验证机制。
一般来说,这些类被设计用来支持一些场景,其中身份验证机制由一些外部系统提供,确保 http 请求包含某种可以被任何 webapp 使用的身份验证信息。在您的情况下,授权信息似乎位于可用于识别用户的 cookie 中。
假设您已经有一个UserDetailsService 实现来按姓名查找用户,您可以很容易地实现您的要求:
1) 创建一个 AbstractPreAuthenticatedProcessingFilter 的子类,实现抽象方法 getPreAuthenticatedPrincipal(HttpServletRequest) 以从 cookie 中提取主体(用户名)。如果请求中没有凭据,还有另一个抽象方法 (getPreAuthenticatedCredentials()) 可能只返回 null。已经在抽象父类(super class)中实现的逻辑然后创建一个包含提取主体的身份验证 token ,并将其提交给身份验证管理器。
2) 创建一个 PreAuthenticatedAuthenticationProvider 类型的 bean,它将从 auth 管理器接收 auth token ,以便完全填充它(加载用户的角色)。此类需要注入(inject) UserDetailsService 的变体,该变体采用整个身份验证 token ,而不仅仅是用户名。您可以简单地使用 UserDetailsByNameServiceWrapper 使您的原始 UserDetailsService 适应该接口(interface):
<bean id="preAuthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<property name="preAuthenticatedUserDetailsService">
<bean id="userDetailsServiceWrapper" class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
<property name="userDetailsService" ref="yourUserDetailsService"/>
</bean>
</property>
</bean>
3) 使用类似于 the documentation 中显示的配置将事物连接在一起:
<security:http>
...
<security:custom-filter position="PRE_AUTH_FILTER" ref="preAuthFilter" />
</security:http>
<bean id="preAuthFilter" class="com.whatever.YourPreAuthFilter"/>
<security:authentication-manager>
<security:authentication-provider ref="preAuthAuthProvider" />
</security:authentication-manager>
因此,实现您的要求所需要做的只是一个具有单一方法的子类,以及一些将其与现有支持类连接起来的额外配置。
关于java - 在 Spring 中使用 Cookie 对 Restful 服务进行身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16512838/
25
4
0
在我的主要组件中,我有: mounted() { window.$cookie.set('cookie_name', userName, expiringTime); }, 这会产生以下错误:
我正在学习 cookie,并且我想知道在编写依赖 cookie 来存储状态的 Web 应用程序时浏览器的支持情况。 对于每个域/网站,可以向浏览器发送多少个 Cookie,大小是多少? 如果发送并存储
我已经为我的站点设置了一个 cdn,并将其用于 css、js 和图像。 网站只提供那些文件 我的问题是 firefox 中的页面速度插件对于我的图片请求,我看到了一个 cookie Cookie fc
在阅读了 Internet 上的文档和帖子后,我仍然无法解决 jMeter 中的 Cookie Manager 问题。 我在响应头中得到了 sid ID,但它没有存储在我的 cookie 管理器中。
我正在 Node.JS 中处理一些类似浏览器的 cookie 处理,想知道从 NodeJS and HTTP Client - Are cookies supported? 开始对这段代码进行扩展到什
我正在此堆栈上构建自托管 Web 服务器:欧文南希网络 API 2 我正在使用 Katana 的 Microsoft.Owin.Security.Cookies 进行类似表单的身份验证。我得到了 Se
我有一个从另一个网站加载资源的网站。我已经能够确定: 第三方网站在用户的浏览器上放置 cookie。 如果我在浏览器设置中禁用第三方 cookie,第三方网站将无法再在浏览器上放置 cookie。 该
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 9年前关闭。 Improve this q
我正在使用 python mechanize 制作登录脚本。我已经读到 Mechanize 的 Browser() 对象将自动处理 cookie 以供进一步请求。 我怎样才能使这个 cookie 持久
我正在尝试在 www.example.com 和 admin.other.example.com 之间共享 cookie 我已经能够使其与 other.example.com 一起使用,但是无法访问子
我设置了一个域为 .example.com 的 cookie .它适用于我网站上的每个一级子域,应该如此。 但是,它不适用于 n 级子域,即 sub.subdomain.example.com和 to
我想让用户尽可能长时间地登录。 我应该使用什么? 普通 cookies 持久性 cookie 快闪 cookies ip地址 session 或这些的某种组合? 最佳答案 我认为 Flash cook
如果给定的 Web 服务器只能读取其域内设置的 cookie,那么 Internet 广告商如何从其网络外的网站跟踪用户的 Web 流量? 是否存在某种“supercookie”全局广告系统,允许广告
我知道一个 cookie 可以容纳多少数据是有限制的,但是我们可以设置多少个 cookie 有限制吗? 最佳答案 来自 http://www.ietf.org/rfc/rfc2109.txt Prac
如果我拒绝创建 cookie,则在我的浏览器中创建名称为 __utma、__utmb 等的 cookie。我认为这个 cookie 是用于谷歌分析的。任何人都知道谷歌如何创建这个 cookie,即使浏
我有一个生产环境和一个登台环境。我想知道我是否可以在环境之间沙箱 cookie。我的设置看起来像 生产 domain.com - 前端 SPA api.domain.com - 后端节点 分期 sta
我想知道浏览器(即 Firefox )和网站的交互。 当我将用户名和密码提交到登录表单时,会发生什么? 我认为该网站向我发送了一些 cookie,并通过检查这些 cookie 来授权我。 cookie
我在两个不同的域中有两个网络应用程序 WebApp1 和 WebApp2。 我在 HttpResponse 的 WebApp1 中设置 cookie。 如何从 WebApp2 中的 HttpReque
我正在使用Dartium“Version 34.0.1847.0 aura(264987)”,并从Dart创建一个websocket。但是,如果不是httpOnly,我的安全 session cook
我从 Headfirst Javascript 书中获取了用于 cookie 的代码。但由于某种原因,它不适用于我的浏览器。我主要使用chrome和ff,并且我在chrome中启用了本地cookie。
我是一名优秀的程序员,十分优秀!